Как оптимизировать пользу контрольных функций
Как оптимизировать пользу контрольных функций
Любая компания, выходя на рынок
товаров и услуг, в первую очередь ставит перед собой задачу создания стоимости
для сторон, заинтересованных в ее деятельности. В подобных условиях организации
прежде всего сталкиваются с неопределенностью, в связи с чем задачей
управленческого звена является принятие однозначного решения об уровне
неопределенности, с которым компания готова работать, стремясь увеличить
стоимость для заинтересованных сторон. Неопределенность в данном случае
содержит в себе два противоположных свойства. С одной стороны - существующий
риск, с другой - открытие перспектив, что соответственно приводит либо к
уменьшению, либо к увеличению стоимости.
Последнее десятилетие кардинально
изменило подход к сущности контрольных функций современных компаний, в
частности - внутреннего контроля и аудита, в том числе закрепленной в
определении Института внутренних аудиторов (ПЛ). Произошедшие в конце XX -
начале XXI в. экономические реформы во многих странах мира, а также
продолжающееся развитие глобального финансового кризиса, несколько волн
которого оказали и продолжают оказывать значимое влияние на мировую экономику,
потребовали от руководителей и владельцев предприятий различных государств
усиления роли системы внутреннего контроля компаний как неотъемлемой части
системы их корпоративного управления, непрерывно связанной с повышением
эффективности бизнеса. Сегодня происходит трансформация внутренних контрольных
функций в инструмент оценки эффективности системы управления рисками,
наблюдается смещение акцентов от оценки рисков отдельных операций к оценке
рисков в деятельности компании в целом. Требования и ожидания заинтересованных
сторон от внутреннего контроля и аудита повышаются вследствие изменения среды и
актуальных задач бизнеса.
Процесс управления рисками в
компании в первую очередь должен оптимизироваться за счет повышения в нем роли
контрольных функций. Его необходимо основывать на методологических разработках
и исследованиях, как имеющих общий характер, так и сугубо специфических,
имеющих отношение к определенному сегменту рынка, объему валовой продукции,
территориальной принадлежности, основам законодательной базы и многим другим
факторам, которые могут существенно изменить общую концепцию компании по
разработке и внедрению стратегии оптимизации контрольных функций в системе
управления рисками.
Одной из важнейших составляющих этой
системы является культура управления рисками. В целом ее можно охарактеризовать
как существующую в организации систему ценностей и способов поведения, которая
определяет суть и форму решений, принимаемых в области управления рисками.
Культура управления рисками оказывает влияние на принимаемые руководством и
работниками решения. Она является тем самым инструментом, который гарантирует,
что будут приняты именно необходимые, а не просто экстренные меры, которые, как
правило, не всегда бывают тщательно продуманными и выверенными. С уверенностью
можно говорить о том, что без всесторонне проработанной культуры управления рисками
любая программа по управлению рисками в организации, какой бы продуманной и
комплексной она ни была, может оказаться не в состоянии предотвратить принятие
неверных решений.
В настоящее время методология
управления риском, особенно в части его оценки, получает все более интенсивное
развитие в практике организаций различного профиля. Происходящие во всем мире
за последнее время события наглядно демонстрируют, что научные и деловые круги,
принимающие решения на основе оценки рисков, продолжают сталкиваться с
многочисленными трудностями в области менеджмента рисков и применяемых методик
их оценки. С одной стороны, это обусловлено сложностью процессов оценки риска,
с другой - потерей доверия к существующим методическим решениям. Последствия
мирового финансового кризиса в начале XXI в., волны которого до сих пор
продолжают затрагивать деятельность хозяйствующих субъектов, продемонстрировали
очевидную недостаточную научную разработанность и конечную эффективность
существующих и наиболее часто применяемых организациями инструментов
контрольных функций при оценке рисков либо их несостоятельность в конкретных
условиях предупреждения реализации риска.
Фактически в настоящее время
наблюдается дисбаланс между ожиданиями и результатами применения методических
инструментов в части управления рисками, что в основном обусловлено
неопределенностью и сложностью, с которыми приходится сталкиваться при оценке
риска [10].
Современное развитие экономики,
возросшая конкуренция, наличие негативных внешних и внутренних факторов стали
серьезным стимулом к созданию в компаниях структурного подразделения для
независимой оценки эффективности процессов компании, позволяющей определить ее
текущие проблемы и построить стратегическую линию развития, позволяющую
минимизировать возможные риски. Служба внутреннего контроля и/или аудита все
увереннее занимает эту нишу в соответствии с возложенными на нее
функциональными задачами и требованиями к уровню компетентности сотрудников.
Полезность этой службы, ее вклад в сохранение стоимости бизнеса сложно
рассчитать и обосновать по ряду объективных причин, представленных ниже [15]:
• «внутренние аудиторы прежде всего занимаются оценкой слабых сторон
деятельности организации и предоставлением рекомендаций, а не расчетом ценности
результатов своей работы;
• незаметное присутствие службы внутреннего аудита зачастую само по
себе предотвращает нежелательные события (например, мошенничества);
• некоторые, а иногда - большинство рекомендаций службы внутреннего
аудита не поддаются количественному измерению (например, улучшение имиджа
компании);
• результаты внутреннего аудита зачастую носят косвенный характер,
либо между проведением аудита и появлением заметных результатов проходит
большой период времени».
Учитывая эти обстоятельства,
приходим к выводу, что оптимизации контрольных функций для целей сохранения
стоимости бизнеса можно достичь только в результате взаимодействия двух и более
подраз- делений/функций/уровней в организации. Так, например, управление в
компании теоретически всегда должно быть разделено на управление
стратегическими решениями (совет директоров) и управление оперативной
деятельностью (топ-менеджмент, правление). Схема взаимодействия по контрольным
функциям подразумевает симбиоз между советом директоров, который разрабатывает
и утверждает общую парадигму управления рисками, исполнительными органами
организации (топ-менеджмент, правление), чья роль заключается во внедрении в
практику этой парадигмы, и службой внутреннего контроля и/или аудита, которая
должна оценивать эффективность системы управления рисками, предлагая при
необходимости пути ее оптимизации.
Введение нескольких уровней в
процесс управления рисками для целей оптимизации системы контрольных функций
необходимо для разграничения потоков информации, их упорядочения в разрезе
задач, периодов, отчетности, а также и для регламентации во внутренних
документах. Один из возможных подходов в разграничении уровней по управлению
рисками представлен в табл.
контроль управление риск бизнес
Разграничение уровней управления
рисками
Уровень управления
|
Задачи
|
Период
|
Отчетность
|
Орган управления
|
Отражение во внутренних документах
|
Стратегическое
|
Разработка и утверждение парадигмы управления рисками
|
1-3 года
|
Ежегодно
|
Совет директоров
|
Положение о внутренней политике
|
Оперативное
|
Внедрение и эксплуатация системы управления операционными
рисками; самооценка; экспертная оценка
|
Один квартал; один год
|
Ежеквартально; ежегодно
|
Служба внутреннего контроля и аудита; Исполнительное руководство
|
Положение о рисках; отчет о самооценке; матрица риска
|
Тактическое
|
Мониторинг ролей и функций
|
Квартал
|
Еженедельно
|
Служба внутреннего контроля и аудита
|
Регламент; база исторических данных
|
Экстренное
|
Реагирование на инциденты
|
Немедленно
|
Ежедневно
|
Служба внутреннего контроля и аудита; все сотрудники
|
Регламент
|
На упрощенном примере представим
возможный вариант взаимодействия между тремя упомянутыми уровнями организации
(совет директоров, исполнительное руководство (топ-менеджмент), служба
внутреннего контроля и/или аудита) в процессе оценки и управления рисками,
ограничиваясь при этом только тремя методологическими инструментами (по одному
для каждой функции/уровня контроля), а именно:
• определение советом директоров общей парадигмы, внедрение
«Политики управления рисками» в организации;
• использование службой внутреннего контроля и/или аудита итогов
самооценки подразделений организации в качестве ключевого тактического
инструмента для определения матрицы рисков организации;
• анализ матрицы рисков со стороны топ-менеджмента для определения
ключевых факторов риска и составления плана мероприятий с целью воплощения на
практике эталонной модели совершенства, определенной советом директоров.
Первый шаг по оптимизации
контрольных функций в нашем примере требует закрепления подходов и принципов
системы управления рисками в «Политике управления рисками», которая может
корректироваться с учетом развития организации. План разработки и внедрения
системы управления рисками должен быть разработан детально, с разбивкой по
составным частям каждого этапа и срокам их реализации.
Внедрение стандартизованных процедур
имплементации метода самооценки для целей применения результатов службой
внутреннего контроля и/или аудита важно начинать с разработки общей стратегии
управления рисками и формализации системы управления ими в «Политике управления
рисками», утверждаемой советом директоров. По своей сути она является опорным
документом, описывающим общую концепцию управления рисками в организации.
Следующим шагом в нашем примере
является применение метода самооценки как всестороннего и систематического
анализа деятельности организации и ее результатов по сравнению с выбранным
эталоном. Современной наукой и практикой самооценка признается результативным
методом, способным оптимизировать пользу контрольных функций организации, но
при этом инструментом, не заменяющим другие важные процедуры внутреннего
контроля и аудита. Самооценка помогает менеджменту и собственникам бизнеса
повысить эффективность систем контроля и управления рисками, управлять ими в
рамках текущих процессов. Наличие инструмента самооценки внутреннего контроля
не всегда является обязательным требованием в разных странах, как, например, в
России. Тогда как на Западе самооценка необходима для соответствия требованиям
Закона Сарбейнса-Оксли [11] для публичных компаний, размещающихся на американских
биржах. Тем не менее использование этого инструмента даже на добровольных
началах дает высокие результаты. Некоторые исследования [6] свидетельствуют,
что внедрение эффективных методов самооценки позволяет:
• повысить действенность систем контроля и управления рисками в
организации;
• осуществлять их менеджмент в рамках текущих процессов с более
высокой степенью результативности, в том числе существенно снизить затраты на
управление рисками с учетом имеющихся системных ограничений.
Для собственников и руководителей
современных компаний преимущества метода самооценки заключаются в повышении
эффективности корпоративного управления и оптимизации контрольных функций.
Внедрение системы внутренней оценки способно оказать позитивное влияние на
сотрудников компании, поскольку позволяет повысить эффективность выполнения
текущих обязанностей, повышает уровень корпоративной культуры, а также уровень
дисциплинированности и ответственности. На основе полученных результатов
самооценки можно сделать агрегированный анализ ключевых рисков и представить их
топ- менеджменту организации в виде матрицы риска для ознакомления, а также для
составления плана мероприятий с целью воплощения на практике эталонной модели
совершенства (бизнеса), определенной советом директоров и собственниками
компании.
Матрица рисков является
диагностическим инструментом оценки рисков, который предполагает некоторую
форму их градации. Она имеет диапазон по осям последствий и вероятности.
Матрица рисков наглядно демонстрирует аудитору, руководителю и другим
заинтересованным лицам, принимающим решения, в чем заключается риск, его
структуру (относительно затрат, изменений в процедурах и т.д.) и какой объем
времени, других ресурсов может быть уделен для оптимизации уровня риска,
принимая во внимание существенность его последствий и вероятность. Данный
инструмент дает системное представление о рисках компании.
Ниже на рис. представлена матрица
рисков, основанная на двух показателях: уровне вероятности возникновения риска
и финансовых потерях (ущербе) в случае его реализации.
|
Высокий
|
|
©
|
|
«о о. 4> ЕТ >Ч
|
|
© ©
|
О© ©
|
|
|
Низкий
|
©
|
©
|
|
|
|
Низкая
|
Средняя
|
Высокая
|
|
|
|
Вероятность
Используя полученные результаты
агрегированной оценки вероятности реализации и тяжести последствий для каждого
риска, можно определить его значимость по выбранной шкале, которая определяется
компанией в зависимости от ее склонности к риску (риск-аппетитов). Составление
матрицы риска дает возможность топ-менеджменту получить наглядное представление
о зонах концентрации риска, определить наиболее критичные факторы риска для
компании и построить план мероприятий для управления ими.
В целях оптимизации контрольных
функций особенно актуальным вопросом является автоматизация деятельности этих
служб, в частности, используя информационные технологии и системы
бизнес-интеллекта. Анализируя этот вопрос, мы неоднократно встречались с
мнениями о возможности создания контрольных функций, включая и область
проведения самооценки и управления рисками, без применения программного обеспечения
или специальных модулей по оценке и мониторингу уровня риска. По нашему мнению,
такой подход к проблеме является ошибочным вне зависимости от степени
интеграции компании в рыночные процессы, величины валюты баланса, времени
функционирования компании и иных причин, которые могут стать причиной отказа от
внедрения информационных технологий и специальных программ.
Препятствием внедрения подобных
решений является их высокая стоимость. Согласно данным аналитического агентства
Gartner [5], среди 97 опрошенных американских банков около половины не
интегрируют системы управления операционными рисками и инструменты оценки
эффективности бизнеса. При выборе IT-системы для автоматизации целесообразно опираться на следующие
требования:
1. Система представляет собой
стандартную платформу, встроенную в основной процесс управления и
обеспечивающую необходимую степень детализации и связность информации.
2. Система должна
поддерживаться во всех отделениях и филиалах компании и охватывать все
бизнес-направления и продукты.
. Система должна быть
открытой и иметь модульную структуру, поддерживающую приложения иных
разработчиков. Это должно способствовать адаптации к специфическим потребностям
компании.
. Система должна быть гибка
при поддержке требований национальных регулирующих органов.
Большой потенциал для построения
эффективной технологической цепочки контрольных процессов в автоматической
системе имеет концепция применения бизнес-интеллекта (Business Intelligence - BI). Его главным
назначением является сбор и анализ больших объемов данных с целью выявления
общих тенденций в экономических процессах, выработка понимания ситуации и
позиции предприятия для дальнейшего принятия эффективных решений. В широком
смысле бизнес-интеллект означает:
— процесс преобразования экономических данных в структурированную
информацию для использования ее при принятии дальнейших решений;
— информационные технологии (методы и средства) сбора данных,
консолидации информации и обеспечения доступа бизнес-пользователей к
информации.
Архитектура возможного решения в
построении бизнес-интеллекта для целей управления рисками и оптимизации
контрольных функций представлена на рис. 2.
Рис. 2. Архитектура
бизнес-интеллекта в управлении рисками
При разработке методологических
подходов к оценке риска организации целесообразно вспомнить законы диалектики
(закон перехода количественных изменений в качественные, закон единства и
борьбы противоположностей, закон отрицания отрицания), а также законы
формальной логики (закон противоречия, закон исключенного третьего, закон
тождества). При разработке конкретных методик и подходов, используемых
контрольными функциями компании для оценки системы внутреннего контроля в целом
или в части ее отдельных аспектов, в качестве лучшей практики можно применять
подходы Международных стандартов внутреннего аудита, а также ряд других
стандартов и концепций, например: COBIT, SAC, COSO и SAS 55/78.
Современный менеджмент в любой сфере
бизнеса выделяет важную составляющую управленческой деятельности - это работа
по совершенствованию и оптимизации. Успешное развитие компании в текущих
экономических условиях возможно только при выполнении условия, что функционал
каждого ее работника, кроме осуществления основной деятельности
(непосредственных должностных обязанностей), включает в себя также непрерывное
осуществление функции совершенствования бизнес-процессов, в которых он
участвует, а также бизнеса компании в целом. В этой связи оптимизация пользы
контрольных функций в организации должна включать:
1) четкое разграничение уровней
управления рисками;
2) определение ключевой роли
службы внутреннего контроля и аудита с учетом различий между предоставлением
гарантий и консультированием как процессами, составляющими сущность внутреннего
аудита;
) создание технического
решения для поддержки контрольных функций и управления рисками (программное
обеспечение, бизнес-интеллект);
) последовательность в
применении нормативно-методологических критериев, использование научного
подхода;
) непрерывное информирование
всех уровней организации о важности контрольных функций, контроль плана
мероприятий.
Хотя предложенная в данной статье
модель связи между несколькими функциями организации в целях оптимизации
бизнес-процессов не претендует на универсальность, очевиден вывод, что
сохранение стоимости компании достигается только при их взаимодействии. В этом
смысле повышение эффективности бизнеса компании, сохранение ее стоимости
возможны только в случае, если деятельность всех контрольных подразделений
согласована между собой и направлена исключительно в качестве конкретной помощи
бизнесу для оптимизации деятельности компании, а не организована как отдельный,
абстрактный и независимый от управленческого аспекта процесс.
Литература
1. Шихвердиев А. П. Внутренний контроль и управление рисками в
системе корпоративного управления // Вестник Научно-исследовательского центра
корпоративного права, управления и венчурного инвестирования Сыктывкарского
государственного университета. - 2012.
2. Control Objectives for Information and Related Technology
- COBIT 1996. Retrieved from the ISACA: http://www.isaca.org/Knowledge-Center/cobit/ Documents/COBIT4.pdf
3. Colbert J. L., Bowen P. L. Comparison of Internal
Controls: COBIT, SAC, COSO and SAS 55/78
// Audit and Control Journal. - 1996. -
№ IV. - 26-35.
4. The COSO Financial Controls Framework 1992. Retrieved
from the Committee of Sponsoring Organizations of the Treadway Commission’s
Internal Control: http://www.sox-online.com/coso_cobit_coso_framework.html
5. Gartner Technology Research and Insight (2009-2010):
Strategic Technologies. Orlando: Gartner.
. Hubbard L. Control Self-Assessment: A Practical Guide by
Larry Hubbard. Altamonte Hull, J. C. (1995). Options, Futures and Other
Derivatives. - New Jersey. Prentice Hall, 2000.
. International Auditing and Assurance Standards Board
(IAASB). Web site: http://ru.ifac.org/IAASB/
. Internal Audit in Banks and the Supervisor’s Relationship
with Auditors (BCBS 84, 2001). Retrieved from the BCBS:
http://www.bis.org/publ/bcbs84.htm
. Juravlev I. B. Об одном способе проверки качества
собираемых данных по операционным потерям // Управление финансовыми рисками. -
2009. - № 3. - 245-252.
10. PwC Internal Audit Leader: Jason Pett on Sarbanes-Oxley
compliance (2012). PwC.
. Sarbanes-Oxley Act of 2002. Corporate responsibility.
Public Law 107-204- July 30, 2002 (107th Congress). 15 USC 7201 note. Retrieved
from the US Securities and Exchange Commission web site:
http://sec.gov/about/laws/soa2002.pdf
. Sound Practices for the Management and Supervision of
Operational Risk (BCBS 96, 2003, 2010). Retrieved from the BCBS:
http://www.bis.org/publ/ bcbs195.pdf
. Systems Auditability and Control Report (SAC 1994). The
Institute of Internal Auditors Research Foundation, Price Waterhouse (Firm).
. Statement on Auditing Standards No. 55 (SAS 55, 1988).
Retrieved from the AICPA: http://www.aicpa.org/
. Wiela J. (2009) Внутренний аудит: уйти или
остаться? // FCCA. Translation
retrieved from: http://www.audit-it.ru/articles/audit/a104/197071.html
Похожие работы на - Как оптимизировать пользу контрольных функций
|